Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comm.software.webserver > #1624 > unrolled thread

\x16\x03\x01" im apache-Log

Started byMarco Moock <mm+usenet@dorfdsl.de>
First post2024-05-23 09:48 +0200
Last post2024-06-21 07:24 +0200
Articles 5 — 3 participants

Back to article view | Back to de.comm.software.webserver


Contents

  \x16\x03\x01" im apache-Log Marco Moock <mm+usenet@dorfdsl.de> - 2024-05-23 09:48 +0200
    Re: \x16\x03\x01" im apache-Log Tim Ritberg <tim@server.invalid> - 2024-05-23 10:39 +0200
    Re: \x16\x03\x01" im apache-Log Marco Moock <mm+solani@dorfdsl.de> - 2024-06-20 22:22 +0200
      Re: \x16\x03\x01" im apache-Log Tim Ritberg <tim@server.invalid> - 2024-06-20 22:52 +0200
        Re: \x16\x03\x01" im apache-Log Marco Moock <mm+solani@dorfdsl.de> - 2024-06-21 07:24 +0200

#1624 — \x16\x03\x01" im apache-Log

FromMarco Moock <mm+usenet@dorfdsl.de>
Date2024-05-23 09:48 +0200
Subject\x16\x03\x01" im apache-Log
Message-ID<v2msbr$1kodr$2@dont-email.me>
Hello zusammen!

Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - -
[23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-"

An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
Was will ein Angreifer mit diesem String bezwecken?

-- 
Gruß
Marco

[toc] | [next] | [standalone]


#1627

FromTim Ritberg <tim@server.invalid>
Date2024-05-23 10:39 +0200
Message-ID<v2mvc5$lgcr$1@tota-refugium.de>
In reply to#1624
Am 23.05.24 um 09:48 schrieb Marco Moock:
> Hello zusammen!
> 
> Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - -
> [23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-"
> 
> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> Was will ein Angreifer mit diesem String bezwecken?
> 

Scheinbar Multibyte oder einfach Binärdaten.
Ist das vielleicht ein Vhost:80 der SSL-Anfragen bekommt?

Tim

[toc] | [prev] | [next] | [standalone]


#1630

FromMarco Moock <mm+solani@dorfdsl.de>
Date2024-06-20 22:22 +0200
Message-ID<v5231m$1ttou$2@solani.org>
In reply to#1624
Am 23.05.2024 09:48 Uhr schrieb Marco Moock:

> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> Was will ein Angreifer mit diesem String bezwecken?

Neben Angreifern, die dann versuchen, CGI-Skripte aufzurufen, kommt das
auch von Scannern wie Censys oder Shadowserver. Ich frag da nun nach,
was das bezwecken soll.

Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe
auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber genauer
analysieren.
Jedenfalls habe ich den String in fail2ban nun gesperrt, ein legitimer
User wird sowas nicht eingeben.

-- 
Gruß
Marco

Spam und Werbung bitte an
1716450490ichwillgesperrtwerden@nirvana.admins.ws

[toc] | [prev] | [next] | [standalone]


#1631

FromTim Ritberg <tim@server.invalid>
Date2024-06-20 22:52 +0200
Message-ID<v524r1$1u0nt$1@tota-refugium.de>
In reply to#1630
Am 20.06.24 um 22:22 schrieb Marco Moock:
> Am 23.05.2024 09:48 Uhr schrieb Marco Moock:
> 
>> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
>> Was will ein Angreifer mit diesem String bezwecken?
> 
> Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe
> auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber genauer
Nö, da läuft einfach TLS auf einen HTTP-Vhost auf.


https://security.stackexchange.com/questions/162782/apache-strange-requests-in-logs

what you see in \x16\x03\x01\x01... is just the start of a TLS 1.0 
handshake,

Tim

[toc] | [prev] | [next] | [standalone]


#1632

FromMarco Moock <mm+solani@dorfdsl.de>
Date2024-06-21 07:24 +0200
Message-ID<v532r3$1uhsg$3@solani.org>
In reply to#1631
Am 20.06.2024 22:52 Uhr schrieb Tim Ritberg:

> Am 20.06.24 um 22:22 schrieb Marco Moock:
> > Am 23.05.2024 09:48 Uhr schrieb Marco Moock:
> >   
> >> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> >> Was will ein Angreifer mit diesem String bezwecken?  
> > 
> > Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe
> > auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber
> > genauer  
> Nö, da läuft einfach TLS auf einen HTTP-Vhost auf.
> 
> 
> https://security.stackexchange.com/questions/162782/apache-strange-requests-in-logs
> 
> what you see in \x16\x03\x01\x01... is just the start of a TLS 1.0 
> handshake,

Danke, das erklärt das.


-- 
Gruß
Marco

Spam und Werbung bitte an
1718916769ichwillgesperrtwerden@nirvana.admins.ws

[toc] | [prev] | [standalone]


Back to top | Article view | de.comm.software.webserver


csiph-web